ClickCease Los atacantes explotan activamente el Panel Web de Control sin parches

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Los atacantes explotan activamente el Panel Web de Control sin parches

por

27 de enero de 2023 - Equipo de RRPP de TuxCare

Piratas informáticos malintencionados han empezado a explotar una vulnerabilidad crítica CVE-2022-44877 en versiones no parcheadas del Panel Web de Control, una popular interfaz de alojamiento web gratuita y de código cerrado.

La vulnerabilidad permite la ejecución remota de código sin autenticación y fue parcheada en octubre tras ser descubierta y notificada por el investigador de Gais Cyber Security Numan Turle, que publicó la prueba de concepto el 3 de enero. GreyNoise y The Shadowserver Foundation registraron entonces la explotación activa, y esta última señaló la explotación inicial el 6 de enero.

Aunque la vulnerabilidad crítica que afectaba a Control Web Panel se parcheó oficialmente el 25 de octubre de 2022, empiezan a acumularse pruebas de explotación activa.

CVE-2022-44877 es una vulnerabilidad de ejecución remota de código causada por una única línea de código en el archivo /login/index.php, que permite a atacantes no autenticados ejecutar código en la máquina que aloja el Panel Web de Control.

Para registrar los errores, la línea problemática emplea la siguiente estructura: echo: "entrada incorrecta, dirección IP, HTTP REQUEST URI" se devuelve. Según los investigadores, como la URI de petición procede del usuario y va entre comillas dobles, es posible ejecutar comandos como $(blabla), que es una función de bash.

Debido al hecho de que la funcionalidad de registro se basa en bash (a través del comando echo) y el parámetro HTTP REQUEST URI es controlado por el usuario, un atacante puede utilizar una característica incorporada en bash llamada Sustitución de Comandos para crear una solicitud HTTP "maliciosa" que contenga comandos del sistema.

En algunos ataques, el exploit se utiliza para lanzar una shell inversa. Utilizando el módulo Python pty, las cargas útiles codificadas se convierten en comandos Python que llaman a la máquina del atacante y generan un terminal en el host vulnerable.

Según GreyNoise, al menos cuatro direcciones IP diferentes están atacando activamente la vulnerabilidad. Por lo tanto, se insta a los administradores a actuar con rapidez y actualizar CWP a la versión más reciente disponible, actualmente 0.9.8.1148, que se publicó el 1 de diciembre de 2022.

Las fuentes de este artículo incluyen un artículo en BleepingComputer.

Resumen
Los atacantes explotan activamente el Panel Web de Control sin parches
Nombre del artículo
Los atacantes explotan activamente el Panel Web de Control sin parches
Descripción
Piratas informáticos malintencionados han empezado a explotar una vulnerabilidad crítica CVE-2022-44877 en versiones no parcheadas del Panel Web de Control.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

¡Ayúdenos a comprender
el panorama de Linux!

Complete nuestra encuesta sobre el estado del código abierto y podrá ganar uno de varios premios, ¡el máximo valorado en 500 dólares!

Su experiencia es necesaria para dar forma al futuro de Enterprise Linux.